|
一位高手整理的IIS FAQ
' q9 b& X' | U下面是一位高手整理的问题精华,大家好好看看吧,收获肯定很大的!
$ m2 U9 `* H7 R" v5 R1.如何让asp脚本以system权限运行 # E/ ]# w6 v x* |0 g, Z
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... ; ]5 n6 J4 C6 b
2.如何防止asp木马
, s9 n8 t- [9 ]. p6 L" e 基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
) r6 U4 n A1 ^- P- m! x/ ` regsvr32 scrrun.dll /u /s //删除
5 c" f9 W8 g, e' g7 f+ r 基于shell.application组件的asp木马
/ Q! U5 U9 F1 Q! K' o3 N/ } cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
' ^0 t) ?7 `1 O; t/ e& ^ regsvr32 shell32.dll /u /s //删除
! x+ B9 y1 a O& M: O4 u3.如何加密asp文件
7 P5 R1 k! b' q7 k _2 | 从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。 % R y' Q: E( |* B0 P
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。 3 m% b6 M% y. a/ V6 B G+ f
运行screnc - l vbscript source.asp destination.asp ' e$ W, _, U+ r- [7 w3 w1 h* P' z
生成包含密文ASP脚本的新文件destination.asp $ C+ d) z$ w9 f6 n- U3 I4 d
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了 8 ~5 l2 a8 W& N' b8 x; D- x
但无法加密中文。
X' q; H1 V# n9 R4.如何从IISLockdown中提取urlscan
% y3 y/ C5 \& M6 ~+ m# T9 O iislockd.exe /q /c /t:c:\urlscan
$ n; f: j7 \ s! W% e5.如何防止Content-Location标头暴露了web服务器的内部IP地址 ; C' s6 s. x1 o+ D* F- k! G
执行 9 B: p7 l6 x" W& R
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True 3 o% l n( ~9 |% a/ j+ |7 D
最后需要重新启动iis G2 C. x9 ~- X5 b- C0 i+ V
6.如何解决HTTP500内部错误 2 W3 a) x5 n/ Y" y: z7 x9 h. q
iis http500内部错误大部分原因
3 U" h8 r6 I# |0 f3 ^ 主要是由于iwam账号的密码不同步造成的。
; } G/ W7 m9 g$ `! l) S 我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。 1 {' w1 d( G- a
执行 ( N# W8 e2 K$ q0 q0 Q7 D
cscript c:\inetpub\adminscripts\synciwam.vbs -v
( D9 c9 Y: L' g2 V8 D- z' \7.如何增强iis防御SYN Flood的能力
1 V1 l) `; z1 k0 r Windows Registry Editor Version 5.00
) B( e. i2 }) T, v* P: v [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
1 F7 D1 Q( C/ u 启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后 7 T( X, F( N+ H2 o" V$ s
安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值 设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
4 R1 X3 V% n8 K3 k1 G "SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
L2 ^- t, M& R( x; X! _5 y "TcpMaxHalfOpen"=dword:00000064
% S. X4 ?, U8 G9 f6 q. }; N- E 判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
d H7 S2 J& |/ k% L "TcpMaxHalfOpenRetried"=dword:00000050
| [6 z; K Y3 G/ C+ h 设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。 ' t6 J* O; o3 M5 m- t% G
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。 & o) \! a p1 y
微软站点安全推荐为2。
% x+ `) M) g3 D( k2 d) U) ] "TcpMaxConnectResponseRetransmissions"=dword:00000001
, f- [. P- x# a1 f+ ~ 设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
. l2 j3 y* A; v9 c( g "TcpMaxDataRetransmissions"=dword:00000003 ( G- h: |! H+ s3 B2 U: e+ P
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。 % ~( c( Z( v W2 @# g7 i/ y2 D
"TCPMaxPortsExhausted"=dword:00000005 # _ ^7 O+ l. @/ j
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
2 A9 C. W% V6 S "DisableIPSourceRouting"=dword:0000002 ; G( t$ h! o. u% G
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
, l+ v& X& P$ {1 z "TcpTimedWaitDelay"=dword:0000001e ) f4 v( N5 W7 \; b4 M
8.如何避免*mdb文件被下载 & R G9 V$ x4 d9 R
安装ms发布的urlscan工具,可以从根本上解决这个问题。
; G1 D8 d2 Q7 y c' \4 L0 Y 同时它也是一个强大的安全工具,你可以从ms的网站上获取更为详细的信息。
' p, A# i2 a/ v" h8 k+ k9.如何让iis的最小ntfs权限运行
, w1 p+ |4 a; x0 P G/ Q, R3 Z- p4 p 依次做下面的工作:
9 E7 c# z, P5 r2 V4 q" p5 `* F a.选取整个硬盘:
% k. r g9 o0 y8 O3 x, n4 O system:完全控制
1 @& F; V6 A6 r8 K6 W c# _1 r% @ administrator:完全控制 - k: ~, R' P2 c
(允许将来自父系的可继承性权限传播给对象)
* y8 u0 T6 U( h( v' B b.\program files\common files:
$ S2 A4 P0 x$ e8 o3 | everyone:读取及运行
; H7 `$ X+ p# E8 f( I9 \ 列出文件目录
7 x1 X9 N+ ^/ x3 P9 u* o 读取
8 ^) A9 T6 z8 F. E+ @ (允许将来自父系的可继承性权限传播给对象) 0 l8 u+ n K, K+ j9 |
c.\inetpub\wwwroot: 9 G K- t" U: z
iusr_machine:读取及运行
( i- H1 r# J4 s, g 列出文件目录 2 ~! z" x; d: ^3 j- m7 R4 ^
读取 ) n! @& d3 {( \+ Y
(允许将来自父系的可继承性权限传播给对象)
' P( ]- F9 T7 m8 G) B+ w J e.\winnt\system32:
" c" F, `: p0 A 选择除inetsrv和centsrv以外的所有目录,
4 r+ M) _; ~8 M# h4 B. Y; d. f6 B 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
! N2 G1 p7 p4 W6 @/ k f.\winnt: - A @5 t6 ^# A& D1 s
选择除了downloaded program files、help、iis temporary compressed files、 % r4 o+ \: N M1 P9 [
offline web pages、system32、tasks、temp、web以外的所有目录
( b- L- m) v8 ~ 去除“允许将来自父系的可继承性权限传播给对象”选框,复制。
( U3 C6 d4 {1 C g.\winnt:
! N+ x9 w6 D$ b6 e everyone:读取及运行
$ _% Z# C- O( M8 p; O% u" K+ b 列出文件目录
$ C$ y& Y! u8 Q% `1 O 读取 6 [& C: L( C6 f# a# v& S0 [/ l
(允许将来自父系的可继承性权限传播给对象) ! a+ t- R! F/ [; {
h.\winnt\temp:(允许访问数据库并显示在asp页面上) # B# A) Z7 p: E: {4 n9 T
everyone:修改 6 w4 J8 m. W/ ^. p/ x" F! V5 i
(允许将来自父系的可继承性权限传播给对象)
4 P1 k: ?2 n4 n* q10.如何隐藏iis版本
+ X! y, g3 U% ~8 V: C% Q* o 一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息 * H$ [2 ?8 q% ?( L# V
iis存放IIS BANNER的所对应的dll文件如下: 8 x1 ?( H/ @, P, I5 d- ?
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
5 R8 k; S4 N' ~7 _7 x+ ? FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL + ]( [" B+ h/ I+ Y& w
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
5 W- i, g) i9 Y 你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0 % k" F: o0 Y, L: ?
具体过程如下: , \7 P$ E% g% t
1.停掉iis iisreset /stop - u; l# |4 G" Q$ R
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
' V7 \% T' p4 [0 T, e& N 3.修改 | 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
300x180 AD
